Hacker Korea Utara Memodifikasi Malware Untuk Curi Crypto
Kelompok Hacker bernama Lazarus, yang diduga disponsori oleh pemerintah Korea Utara. Telah menyebarkan virus baru berupa malware untuk mencuri mata uang crypto.
Perusahaan cybersecurity utama, Kaspersky melaporkan pada 8 Januari bahwa Lazarus telah menggandakan upayanya untuk menginfeksi komputer pengguna Mac dan Windows.
Grup hacker korea utara ini telah menggunakan antarmuka crypto trading open-source yang telah dimodifikasi.
Dan disebut sebagai “QtBitcoinTrader” untuk mengirim dan mengeksekusi kode jahat ke dalam apa yang disebut “Operasi AppleJeus”.
Seperti yang dilaporkan oleh Kaspersky pada akhir Agustus 2018. Sekarang, perusahaan cybersecurity tersebut melaporkan bahwa Lazarus telah mulai membuat perubahan ke malware.
Kaspersky mengidentifikasi macOS dan virus Windows baru bernama UnionCryptoTrader, yang didasarkan pada versi yang terdeteksi sebelumnya.
Malware baru lainnya, yang menargetkan pengguna Mac, bernama MarkMakingBot. Perusahaan cybersecurity mencatat bahwa Lazarus telah mengutak-atik MarkMakingBot.
Dan berspekulasi bahwa itu adalah “tahap perantara dalam perubahan signifikan terhadap malware macOS mereka.”
Para peneliti juga menemukan mesin Windows yang terinfeksi melalui file jahat bernama “WFCUpdater” tetapi tidak dapat mengidentifikasi tentang penginstal awal.
Kaspersky mengatakan bahwa infeksi dimulai dari .NET malware yang menyamar sebagai dompet updater WFC dan didistribusikan melalui situs web palsu.
Malware menginfeksi PC dalam beberapa tahap sebelum menjalankan perintah grup dan menginstal muatan secara permanen.
Hacker Korea Utara menggunakan Telegram untuk sebarkan malware
Versi Windows dari UnionCryptoTrader ditemukan dieksekusi dari folder unduhan yang ada di platform pesan instan, Telegram.
Membuat para peneliti meyakini “dengan keyakinan tinggi bahwa aktor mengirimkan pemasang yang dimanipulasi menggunakan kurir Telegram.”
Alasan lebih lanjut untuk meyakini bahwa Telegram digunakan untuk menyebarkan malware adalah keberadaan grup Telegram di situs web palsu.
Antarmuka program menampilkan antarmuka grafis yang menunjukkan harga Bitcoin (BTC) di beberapa pertukaran cryptocurrency.
Versi windows dari UnionCryptoTrader memulai proses Internet Explorer yang tercemar, yang kemudian digunakan untuk menjalankan perintah penyerang.
Kaspersky mendeteksi contoh-contoh malware yang dijelaskan di atas di Inggris, Polandia, Rusia dan Cina. Laporan itu berisi:
“Kami percaya serangan terus-menerus dari kelompok Lazarus untuk mendapatkan keuntungan tidak akan berhenti dalam waktu dekat. Kami menganggap serangan seperti ini pada bisnis cryptocurrency akan berlanjut dan menjadi lebih canggih.”
Lazarus sudah lama dikenal sebagai pengguna crypto. Pada Oktober 2018, Jelajahcoin melaporkan bahwa kelompok hacker korea utara itu telah mencuri $571 juta cryptocurrency sejak awal 2017.
Pada bulan Maret 2019, laporan oleh Kaspersky menyarankan bahwa upaya kelompok dalam menargetkan pengguna cryptocurrency masih berlangsung dan taktiknya berkembang.